阻止“IIS短文件名泄露”

原创 2015年07月09日 22:15:45

1.    简介:Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

2.    检测方法:http://www.xxxx.com/defaul*~1*/.aspx,将log换成你的文件名的前几位,如返回404则代表文件存在,如返回bad request则代表文件不存在,如有以上现象,则存在此漏洞。

3.    修复方法:修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,重启服务器。

4.    注意:此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除,可选择将网站文件删除,再重新上传即可解决此问题。升级.net framework v4.0无帮助。重新命名网站主目录无帮助。

5.    已存在的网站对后设置的会不起作用,解决方法是可以删除文件然后再把文件拷贝回来。

相关文章推荐

IIS短文件名漏洞简介

漏洞描述      windows下通过~表示短文件名,如:test~1, 在IIS中可通过短文件名的方式判断目标文件是否存在,从而降低文件名暴力猜解的难度      漏洞检查方式     ...

Delphi7高级应用开发随书源码

  • 2003年04月30日 00:00
  • 676KB
  • 下载

Delphi7高级应用开发随书源码

  • 2003年04月30日 00:00
  • 676KB
  • 下载

IIS短文件名漏洞

Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。 危害: 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Fr...
  • rightfa
  • rightfa
  • 2015年12月16日 14:57
  • 1724

Microsoft IIS 短文件名/目录名 枚举漏洞

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 Microsoft IIS在实现上...
  • god_7z1
  • god_7z1
  • 2012年09月16日 00:41
  • 2335

IIS短文件漏洞的介绍与相关利用

这个是最近爆出来的,而且没有补丁,只有临时解决方案,而微软临时解决方案的普及度可以说相当之低。用这个漏洞可以爆出web物理路径下全部的文件,虽然仅仅是8.3命名规则,但这也已经足够了。 如果扫出了RA...

Delphi7高级应用开发随书源码

  • 2003年04月30日 00:00
  • 676KB
  • 下载

给定A, B两个整数,不使用除法和取模运算,求A/B的商和余数

给定A, B两个整数,不使用除法和取模运算,求A/B的商和余数。 1.   最基本的算法是,从小到大遍历: for (i = 2 to A -1)          if (i * B > A)...

利用K-means聚类算法根据经纬度坐标对中国省市进行聚类

K-means聚类算法是一种非层次聚类算法,在最小误差的基础上将数据划分了特定的类,类间利用距离作为相似度指标,两个向量之间的距离越小,其相似度就越高。程序读取全国省市经纬度坐标,然后根据经纬度坐标进...

Radon变换理论介绍与matlab实现--经验交流

本人最近在研究Radon变换,在查阅了各种资料之后在此写下个人的理解,希望与各位牛牛进行交流共同进步,也使得理解更加深刻些。 Radon变换的本质是将原来的函数做了一个空间转换,即,将原来的XY平...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:阻止“IIS短文件名泄露”
举报原因:
原因补充:

(最多只允许输入30个字)